본문 바로가기

보안

 (22)
SQLmap 을 이용한 SQL인젝션 ​ ​ 위의 sqlmap 툴을 이용하여 sql인젝션을 시도해보자. sqlmap를 사용하기위해 처음세팅값을 해줘야한다. ​ 세팅값에 맞는 정보를 알아야하는데 프록시 를 이용하여 얻어보자. ​ ​ 먼저 공격할 영역에 입력값을 입력한후에 프록시로 잡아보자. ​ ​ ​ 프록시를 얻은 정보에서 필요한부분이 1번정보 와 2번 정보이다. ​ 아래의 텍스트파일에서 위의명령어를 조합해서 완성된 명령문인데 ​ 먼저 sqlmap 는 시작하기위한 부분이고 -u 는 공격타겟부분이다. --cookie는 쿠키값을 그대로 사용하기위해 프록시에서 얻어온 정보를 그대로입력 --dbs 는 데이터베이스의 정보를 보여달라는 명령어이다. ​ 위의 명령어를 통해 얻어온 데이터베이스 이름들. ​ 이제 특정 데이터베이스의 테이블을 알아보자 ​ -D..
[포렌식 도구] Shortcut 파일 ,WFA 흔히 보는 파일의 바로가기 이다. ​ ​ ​ ​ 실제파일의 경로 실제파일의 MAC 값 실제 파일의 Size MAC address를 이용하여 로컬에서 어디서 온것인지 확인가능하다 ​ ​ Recent(최근에사용된파일) 의 Shortcut의 파일 특성 -> Link File 의 수정 시간은 대상 파일의 최근 open한 시간이다. ​
[포렌식] Prefetch 파일 분석 프로그램을 한번실행하면 라이브러리등을 불러오면서 시간이걸린다. 그후에 이 정보를 저장해두고 그후에 다음 실행할때는 빠른속도로 실행이된다. ​ 이러한 정보를 Perfetch 에서 확인가능하다. ​ 위의 경로로 가보자. ​ ​ 그러면 이렇게 perfetch 파일을 볼수있다. ​ 어떤 사람이 나는 이러한 프로그램을 실행한적이 없다 했을때 이걸확인하여 진짜인지 확인가능. ​ ASDCLI.EXE-C739B721.pf pf는 확장자 c739b721 은 exe의 경로해쉬값 정도라고 생각하면된다. ​ exe가 실행될때 pf가있는지 확인하는데 같은 exe가 여러군대 있을수있으니 뒤의 시리얼값을 보고 판단한다. ​ ​https://k4keye.tistory.com/45 [포렌식] Windows Artifact 분석 일반 ..
[포렌식 도구] IECacheView(임시 인터넷 파일) 임시 인터넷 파일 (Cache , Temporary Internet File) - 방문한 사이트에 대한 임시 저장 파일로서 동일 웹 페이지 접속시 속도 향상을 위하여 다시 웹 페이지를 인터넷에서 가져오지 않고 임시 저장파일을 재사용하는데 사용된다. ​ ​ 압축해제를하면 ​ 이렇게 나오는데 실행파일을 실행하면 ​ 위와같이임시인터넷 파일이 나온다. ​ ​ ​ 임시 인터넷 파일 분석 - 삭제되어진 파일의 경우 Encase 등으로 복구 -방문한 사이트에 대한 웹 페이지 , 이미지 ,Script 등이 저장되어 있으므로 해당 사이트의 이전에 내용을 확인할수있다. -업데이트 되지않은 웹 페이지 내용 확인가능 -Email ,ID,주민번호 ,수신 메일 내용 등 확인 가능 ​
[포렌식 도구] BrowsingHistoryView(브라우저에 대한 히스토리) 파일 압축을 해제하면 위와같은 구성으로되어있다 실행파일을 실행시켜보자 그러면 위와같은 설정화면이 나오는데 여기서 검색을 할 날짜와 시간 , 웹 브라우저 등을 지정할수있다. OK눌러주자. ​ ​ ​ 내가 사용한 브라우저에 대한 히스토리들과 파일에 접근한 히스토리가 남는데 ​ 왜 파일에 대한 히스토리가 남는가? 위와같이 탐색기에 입력을하면 웹브라우저가 실행이되는데 ​ 탐색기안에는 웹브라우저가 내장되어있고 그 웹브라우저가 히스토리를 남긴다. ​ 검색할때 사용된 키워드들이 노출되기때문에 이러한 정보를 분석한다. ​ 예전에는 웹에 접속하는 쿼리스트링이 그대로 다 기록이남아 아이디와 패스워드를 확인할수도있었다. ​ ​ ​ ​
[포렌식] 레지스트리 증거 수집 및 분석 HKEY_CLASSER_ROOT : 각 프로그램간의 연결 정보가 들어있다. 예로 내가 mp4 를 더블클릭한다면 윈도우 는 이걸실행시키기위해 특정 미디어 프로그램을 실행시켜서 연결시켜주는데 이로한 맵핑정보가 여기에 들어있다 , 확장자 정보가 들어있다. ​ HKEY_CURRENT_USER : 현재 로그인한 사용자 의 정보가 들어있다. ​ HKEY_LOCAL_MACHINE : 전체 사용자에 대한 정보가 들어있다. ,하드웨어 구성 초기화 파일 ,사용중인 하드웨어 및 소프트웨어에 대한 정보 ​ HKEY_USERS : 이전 사용자에 대한 초기화 파일 보관 ​ HKEY_CURRENT_CONFIG : 디스플레이 , 해상도 ,바탕화면 등의 정보가 들어있다. ​ ​ ​ MRU 가장 최근에 사용된 파일 , 프로그램 등에 대..
EProcess 란 EProcess 란​ EPROCESS 란 커널에서 프로세스를 관리하기 위한 오브젝트이다. 프로세스를 관리 할 때 이중 연결 리스트로 관리되어진다 ​ ​ 먼저 우리가 운영체제를 이용하는 이유는 작업을 하고자 하는 이유인데 즉 게임이나 문서 ,인터넷 등 모든작업을하는것을 작업이라고 보았을때 이 작업을하기위해서는 응용프로그램을 사용해야만하고 이러한 응용프로그램은 모두 프로세스 이다. 프로그램들을 실행시키고 관리하는 거대한 프로세스가 EProcess 이다. (프로세스 위의 프로세스) ​ - 윈도우의 관점에서 프로세스란 바로 이 구조체를 의미하며, 프로세스를 종료한다는 것은 이 구조체에 대한 포인터 값을 관련 링크드 리스트에서 삭제하는 것을 의미한다. ​ - 이 구조체 에는 시스템이 프로세스를 실행하고 관리하기 ..
[포렌식] Windows Artifact 분석 일반 파일 분석 ​ 만든시각(Created Time) : 파일이 생성된 시간 수정한시각(Modified Time) : 파일이 수정된 시간 접근시각(Accessed Time) : 파일이 읽혀진 시간 ​ 이있는데 실제 어떻게 보이는지 확인해보자. ​ 일반 텍스트파일-마우스우클릭-속성 위와같이 일반파일의 속성을 들어가면 만든날짜 , 수성한 날짜 , 액세스한 날짜 가 보인다. ​ 이제 이 3가지 시간에대해서 약자로 C / M / A 로 부르도록하자. ​ 그렇다면 C 인 만든날짜는 위의 파일을 만들었을때를 기록하는 부분일것이고 M은 수정한날짜 이니 만들고난 후 내용을 바꾸기위해 들어간다면 이 날짜는 게속변화를 할것이다. A는 액세스 즉 접근을 하는것을 말하는데 이 경우 파일을 열어보기만해도 변화를할것이다. ​ 여..

티스토리툴바